Le règlement général sur la protection des données personnelles (ci-après RGPD) a un impact important sur les données traitées par les ressources humaines.
Les données des ressources humaines sont clairement identifiées comme telles, au sens du règlement qui prévoit, à son article 88 notamment, que les Etats membres disposent, en cette matière, d’une flexibilité pour édicter des règles spécifiques. Cette marge de manœuvre est ouverte sous réserve de la préservation de la dignité humaine, des intérêts légitimes et des droits de la personne concernée, en particulier au regard de la transparence du traitement, du transfert des données dans un groupe d’entreprises et des systèmes de contrôle sur le lieu de travail (1).
Les données des salariés devront être traitées selon les règles suivantes.
La mise en place de registres de traitement de données de ressources humaines
Le RGPD allège le processus précédent de déclaration à la Cnil en obligeant désormais les entreprises d’au moins 250 salariés à tenir un registre des traitements qui devra être mis à la disposition de la Cnil.
L’employeur devra identifier l’ensemble des traitements relatifs aux ressources humaines en fonction des finalités et sous-finalités et respecter les mentions décrites à l’article 30 du RGPD :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- les finalités du traitement ;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
- dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
A titre d’exemple, les traitements des données des ressources humaines concernent principalement la candidature, la gestion des carrières, la rémunération, la vie du salarié, la rémunération, la sécurité et la logistique.
L’information et le consentement préalable des employés
L’employeur devra informer les salariés et les candidats à l’embauche de la mise en place, des finalités et des modalités du traitement. Il pourra le faire par le biais du règlement intérieur, du contrat de travail ou encore sur le site internet de l’entreprise. L’information devra être claire et précise.
Certaines données plus sensibles, telle qu’une photographie, nécessitera le consentement préalable du salarié. Ce consentement devra être précis, non équivoque et devra être un acte positif en s’effectuant par une case à cocher ou une autorisation écrite.
L’obligation de garantir la sécurité et la confidentialité des données personnelles collectées
L’employeur devra mettre en œuvre toutes les mesures techniques et organisationnelles pour garantir la confidentialité des données personnelles des salariés et des candidats.
Cela concerne la sécurité physique en tant que telle mais aussi l’obligation de savoir qui dans l’entreprise a accès aux données. Les employeurs doivent déterminer des règles strictes d’accès aux données en sectorisant et en cloisonnant l’accès aux données.
L’employeur devra par exemple sensibiliser les salariés à la sécurité des données ou créer un référentiel interne.
Enfin, en cas de faille de sécurité, l’employeur devra la signaler à la Cnil dans un délai de 72 heures.
La nécessité de minimiser les données personnelles collectées
Le RGPD instaure le principe de minimisation des données. Ainsi, l’employeur devra recueillir uniquement les données nécessaires, adéquates et pertinentes à la finalité du traitement.
De la même manière, la collecte de données sensibles est interdite sauf dérogations particulières.
La reconnaissance du droit de l’employé sur ses données personnelles
Le RGPD crée de nouveaux droits pour les salariés tels que le droit à l’oubli et le droit à la portabilité des données.
Les employés pourront saisir leur service RH pour exercer leurs droits sur leurs données personnelles et le service devra leur répondre dans le délai d’un mois.
L’employeur devra ainsi être vigilant.
La durée de conservation des données personnelles des employés
Une politique de conservation des données devra être définie et en ce sens, les ressources humaines devront détruire les données collectées une fois l’objectif atteint.
A cet égard, les données collectées sur un candidat non retenu devront être conservées durant une durée maximum de deux ans et les informations relatives à la paie d’un salarié devront être conservées durant cinq ans.
La nomination d’un délégué à la protection des données
Un nouvel acteur remplaçant le Correspondant informatique et libertés est introduit par le RGPD, le délégué à la protection des données personnelle (DPD).
Le DPD est le garant de la conformité à la législation sur la protection des données personnelles au sein de l’entreprise. Il a une mission d’information, de conseil et de contrôle du respect de la législation relative à la protection des données personnelles. Il peut dispenser des conseils sur demande et il coopère avec la Cnil sur les questions relatives au traitement.
Sa désignation est obligatoire :
- pour les entités publiques ;
- dès lors que les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- dès lors que les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
La désignation d’un DPD au sein d’une entreprise permet d’avoir une personne spécialement dédiée au respect de la législation relative à la protection des données personnelles.
Emmanuel Walle
Philippine Lepicard
Lexing Social numérique
(1) Règlement (UE) n°2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) , art. 88.